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Informationstechnik des Bundes 


A. Problem und Ziel 

Die Bedeutung der Informations- und Kommunikationstechnologie (IKT) hat 
sich in den vergangenen Jahren stark gewandelt: Sie ist mittlerweile Voraus- 
setzung für das Funktionieren des Gemeinwesens. Ohne funktionierende 
IKT-Strukturen ist die Versorgung mit Energie oder Wasser gefährdet, fallen 
wichtige Infrastrukturen (z. B. Verkehrsmittel, bargeldlose Zahlungswege von 
der Ladenkasse bis zur Rentenzahlung) aus. Angriffe auf IKT-Infrastrukturen 
können auch Unfälle mit unmittelbaren Auswirkungen auf Leben und Gesund- 
heit vieler Menschen auslösen, z. B. durch gezieltes Umgehen von eingebauten 
Sicherheitsmaßnahmen. Schwachstellen in IKT-Infrastrukturen werden auch zur 
Wirtschafts-, Industrie- und Forschungsspionage genutzt, mit unmittelbaren 
Auswirkungen auf den Wohlstand und letztlich die innere Sicherheit Deutsch- 
lands. Die Sicherheit der Informationstechnik (IT) ist damit ein wesentlicher 
Bestandteil der inneren und äußeren Sicherheit der Bundesrepublik Deutschland. 

Auch die Verwaltung ist auf sichere und verfügbare Kommunikationstechnik 
angewiesen. Die zunehmende Vernetzung gewachsener IT-Strukturen verknüpft 
dabei sehr inhomogene IT-Systeme miteinander. Dies erschwert es, einheitliche 
Sicherheitsstandards einzuführen und birgt damit die Gefahr, dass Schwachstel- 
len an einer Stelle ein Eindringen in die IT-Systeme einer Vielzahl von Behörden 
ermöglichen. Dieser Gefahr kann nur durch die Festlegung einheitlicher und 
strenger Sicherheitsstandards durch eine zentrale Stelle begegnet werden. 


B. Lösung 

Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sollen Befug- 
nisse eingeräumt werden, technische Vorgaben für die Sicherung der Informa- 
tionstechnik in der Bundesverwaltung zu machen und Maßnahmen umzusetzen, 
um Gefahren für die Sicherheit der Informationstechnik des Bundes abzuweh- 
ren. Als zentrale Meldestelle für IT-Sicherheit sammelt das BSI Informationen 
über Sicherheitslücken und neue Angriffsmuster, wertet diese aus und gibt In- 
formationen und Warnungen an die betroffenen Stellen oder die Öffentlichkeit 
weiter. 


C. Alternativen 

Keine 
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D. Finanzielle Auswirkungen auf die öffentlichen Haushalte 

1 . Haushaltsausgaben ohne Vollzugsaufwand 
Keine 

2. Vollzugsaufwand 

Die neu zu schaffenden Befugnisse des BSI sind mit einem entsprechenden Voll- 
zugsaufwand verbunden. Dessen Umfang und damit die Höhe der Vollzugs- 
kosten sind maßgeblich von der zukünftigen Entwicklung der IT-Sicherheitslage 
abhängig und insoweit nur schwer zu beziffern. Den Großteil der zukünftig an- 
fallenden administrativen Aufgaben erfüllt das BSI bereits heute in Form unver- 
bindlicher Beratungsangebote und im Rahmen von Amtshilfeersuchen. Bei un- 
veränderter Sicherheitslage ist daher nur mit einer geringfügigen Erhöhung des 
Vollzugsaufwands zu rechnen. 

Für die Wahrnehmung der übertragenen neuen Aufgaben aufgrund des Gesetzes 
über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) benötigt 
das BSI ca. zehn zusätzliche Planstellen/Stellen sowie Personal- und Sachkosten 
in Höhe von ca. 1 180 000 Euro jährlich. Die Bundesnetzagentur für Elektrizität, 
Gas, Telekommunikation, Post und Eisenbahnen (BNetzA) benötigt für die 
Wahrnehmung der in § 109 des Telekommunikationsgesetzes (TKG) definierten 
neuen Aufgaben zusätzlich drei Planstellen des gehobenen technischen Dienstes 
sowie Personal- und Sachkosten in Höhe von ca. 300 000 Euro jährlich. Die 
Kosten werden Gegenstand der Haushaltsaufstellung 2010 sein. 


E. Sonstige Kosten 

Für Leistungen gegenüber der Wirtschaft im Rahmen der Zertifizierungsver- 
fahren fallen wie bisher Kosten nach der BSI-Kostenverordnung an. 


F. Bürokratiekosten 

Das Gesetz enthält fünf neue Informationspflichten für die Verwaltung. Durch 
den hier vorgesehenen Informationsaustausch können Synergieeffekte genutzt 
und der Aufbau paralleler Strukturen beim BSI und anderen Behörden vermie- 
den werden. Von den bestehenden Regelungsalternativen wurde hier insoweit 
die kostengünstigste gewählt. Neue Informationspflichten für die Wirtschaft 
sind nicht vorgesehen. Informationspflichten für Bürgerinnen und Bürger ent- 
stehen nicht. 
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Berlin, /ffc Februar 2009 


Bundesrepublik Deutschland 

DIE BUNDESKANZI.ERIN 

An den 

Präsidenten des 
Deutschen Bundestages 
Herrn Dr. Norbert Lammert 
Platz der Republik 1 
11011 Berlin 


Sehr geehrter Herr Präsident, 

hiermit übersende ich den von der Bundesregierung beschlossenen 

Entwurf eines Gesetzes zur Stärkung der Sicherheit in der 
Informationstechnik des Bundes 

mit Begründung und Vorblatt. 

Ich bitte, die Beschlussfassung des Deutschen Bundestages herbeizuführen. 
Federführend ist das Bundesministerium des Innern. 

Die Stellungnahme des Nationalen Normenkontrollrates gemäß § 6 Abs. 1 NKRG 
ist als Anlage 2 beigefügt. 

Der Gesetzentwurf ist dem Bundesrat am 23. Januar 2009 als besonders 
eilbed ürftig zugeleitet worden. 

Die Stellungnahme des Bundesrates zu dem Gesetzentwurf sowie die Auffassung 
der Bundesregierung zu der Stellungnahme des Bundesrates werden 
unverzüglich nachgereicht. 

Mit freundlichen Grüßen 
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Anlage 1 


Entwurf eines Gesetzes zur Stärkung der Sicherheit in der 
Informationstechnik des Bundes 1 

Vom ... 


Der Bundestag hat das folgende Gesetz beschlossen: 

Artikel 1 

Gesetz über das Bundesamt für Sicherheit in der 
Informationstechnik (BSI-Gesetz - BSIG) 

§ 1 

Bundesamt für Sicherheit in der Informationstechnik 

Der Bund unterhält ein Bundesamt für Sicherheit in der 
Informationstechnik als Bundesoberbehörde. Es untersteht 
dem Bundesministerium des Innern. 

§2 

Begriffsbestimmungen 

(1) Die Informationstechnik im Sinne dieses Gesetzes 
umfasst alle technischen Mittel zur Verarbeitung oder Über- 
tragung von Informationen. 

(2) Sicherheit in der Informationstechnik im Sinne dieses 
Gesetzes bedeutet die Einhaltung bestimmter Sicherheits- 
standards, die die Verfügbarkeit, Unversehrtheit oder Ver- 
traulichkeit von Infonnationen betreffen, durch Sicherheits- 
vorkehrungen 

1. in informationstechnischen Systemen, Komponenten 

oder Prozessen oder 

2. bei der Anwendung von infonnationstechnischen Syste- 
men, Komponenten oder Prozessen. 

(3) Kommunikationstechnik des Bundes im Sinne dieses 
Gesetzes ist die Informationstechnik, die von einer oder meh- 
reren Bundesbehörden oder im Auftrag einer oder mehrerer 
Bundesbehörden betrieben wird und der Kommunikation 
oder dem Datenaustausch der Bundesbehörden untereinander 
oder mit Dritten dient. Kommunikationstechnik der Bundes- 
gerichte, soweit sie nicht öffentlich-rechtliche Verwaltungs- 
aufgaben wahmehmen, des Bundestages, des Bundesrates, 
des Bundespräsidenten und des Bundesrechnungshofes ist 
nicht Kommunikationstechnik des Bundes, soweit sie aus- 
schließlich in deren eigener Zuständigkeit betrieben wird. 

(4) Schnittstellen der Kommunikationstechnik des Bun- 
des im Sinne dieses Gesetzes sind sicherheitsrelevante Netz- 
werkübergänge innerhalb der Kommunikationstechnik des 
Bundes sowie zwischen dieser und der Informationstechnik 


1 Die Verpflichtungen aus der Richtlinie 98/34/EG des Europäischen 
Parlaments und des Rates vom 22. Juni 1998 über ein Informations- 
verfahren auf dem Gebiet der Normen und technischen Vorschriften 
und der Vorschriften für die Dienste der Informationsgesellschaft 
(ABI. L 204, S. 37), zuletzt geändert durch die Richtlinie 2006/96/EG 
vom 20. November 2006 (ABI. L 363, S. 81) sind beachtet worden. 


der einzelnen Bundesbehörden, Gruppen von Bundesbehör- 
den oder Dritter. Dies gilt nicht für die Komponenten an den 
Netzwerkübergängen, die in eigener Zuständigkeit der in 
Absatz 3 Satz 2 genannten Gerichte und Verfassungsorgane 
betrieben werden. 

(5) Schadprogramme im Sinne dieses Gesetzes sind Pro- 
gramme und sonstige infonnationstechnische Routinen und 
Verfahren, die dem Zweck dienen, unbefugt Daten zu nutzen 
oder zu löschen oder die dem Zweck dienen, unbefugt auf 
sonstige informationstechnische Abläufe einzuwirken. 

(6) Sicherheitslücken im Sinne dieses Gesetzes sind 
Eigenschaften von Programmen oder sonstigen informa- 
tionstechnischen Systemen, durch deren Ausnutzung es 
möglich ist, dass sich Dritte gegen den Willen des Berechtig- 
ten Zugang zu fremden informationstechnischen Systemen 
verschaffen oder die Funktion der informationstechnischen 
Systeme beeinflussen können. 

(7) Zertifizierung im Sinne dieses Gesetzes ist die Fest- 
stellung durch eine Zertifizierungsstelle, dass ein Produkt, 
ein Prozess, ein System, ein Schutzprofil (Sicherheitszerti- 
fizierung), eine Person (Personenzertifizierung) oder ein 
IT-Sicherheitsdienstleister bestimmte Anforderungen erfüllt. 

(8) Protokolldaten im Sinne dieses Gesetzes sind Steuer- 
daten eines infonnationstechnischen Protokolls zur Daten- 
übertragung, die unabhängig vom Inhalt eines Kommunika- 
tionsvorgangs übertragen oder auf den am Kommunikations- 
vorgang beteiligten Servern gespeichert werden und zur 
Gewährleistung der Kommunikation zwischen Empfänger 
und Sender notwendig sind. Protokolldaten können Ver- 
kehrsdaten gemäß § 3 Nummer 30 des Telekommunika- 
tionsgesetzes und Nutzungsdaten nach § 15 Absatz 1 des 
Telemediengesetzes enthalten. 

(9) Datenverkehr im Sinne dieses Gesetzes sind die mit- 
tels technischer Protokolle übertragenen Daten. Der Daten- 
verkehr kann Telekommunikationsinhalte nach § 88 Ab- 
satz 1 des Telekommunikationsgesetzes und Nutzungsdaten 
nach § 15 Absatz 1 des Telemediengesetzes enthalten. 

§3 

Aufgaben des Bundesamtes 

(1) Das Bundesamt fordert die Sicherheit in der Informa- 
tionstechnik. Hierzu nimmt es folgende Aufgaben wahr: 

1. Abwehr von Gefahren für die Sicherheit der Informa- 
tionstechnik des Bundes; 

2. Sammlung und Auswertung von Infonnationen über 
Sicherheitsrisiken und Sicherheitsvorkehrungen und 
Zurverfügungstellung der gewonnenen Erkenntnisse für 
andere Stellen, soweit dies zur Erfüllung ihrer Aufgaben 
oder zur Wahrung ihrer Sicherheitsinteressen erforderlich 
ist; 
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3. Untersuchung von Sicherheitsrisiken bei Anwendung 
der Informationstechnik sowie Entwicklung von 
Sicherheitsvorkehrungen, insbesondere von infonna- 
tionstechnischen Verfahren und Geräten für die Sicher- 
heit in der Infonnationstechnik (IT-Sicherheitsproduk- 
te), soweit dies zur Erfüllung von Aufgaben des Bundes 
erforderlich ist, einschließlich der Forschung im Rah- 
men seiner gesetzlichen Aufgaben; 

4. Entwicklung von Kriterien, Verfahren und Werkzeugen 
für die Prüfung und Bewertung der Sicherheit von in- 
fonnationstechnischen Systemen oder Komponenten 
und für die Prüfüng und Bewertung der Konformität im 
Bereich der IT-Sicherheit; 

5. Prüfüng und Bewertung der Sicherheit von infonna- 
tionstechnischen Systemen oder Komponenten und Er- 
teilung von Sicherheitszertifikaten; 

6. Prüfung und Bestätigung der Konfonnität im Bereich 
der IT-Sicherheit von infonnationstechnischen Syste- 
men und Komponenten mit technischen Richtlinien des 
Bundesamtes; 

7. Prüfung, Bewertung und Zulassung von informations- 
technischen Systemen oder Komponenten, die für die 
Verarbeitung oder Übertragung amtlich geheim gehal- 
tener Informationen nach § 4 des Sicherheitsüberprü- 
fungsgesetzes im Bereich des Bundes oder bei Unter- 
nehmen im Rahmen von Aufträgen des Bundes 
eingesetzt werden sollen; 

8. Herstellung von Schlüsseldaten und Betrieb von Kryp- 
to- und Sicherheitsmanagementsystemen für informa- 
tionssichemde Systeme des Bundes, die im Bereich des 
staatlichen Geheimschutzes oder auf Anforderung der 
betroffenen Behörde auch in anderen Bereichen einge- 
setzt werden; 

9. Unterstützung und Beratung bei organisatorischen und 
technischen Sicherheitsmaßnahmen sowie Durchfüh- 
rung von technischen Prüfungen zum Schutz amtlich 
geheim gehaltener Infonnationen nach § 4 des Sicher- 
heitsüberprüfungsgesetzes gegen die Kenntnisnahme 
durch Unbefugte; 

10. Entwicklung von sicherheitstechnischen Anforderun- 
gen an die einzusetzende Informationstechnik des Bun- 
des und an die Eignung von Auftragnehmern im Bereich 
von Infonnationstechnik mit besonderem Schutzbedarf; 

1 1 . Bereitstellung von IT-Sicherheitsprodukten für Stellen 
des Bundes; 

12. Unterstützung der für Sicherheit in der Informations- 
technik zuständigen Stellen des Bundes, insbesondere 
soweit sie Beratungs- oder Kontrollaufgaben wahr- 
nehmen; dies gilt vorrangig für den Bundesbeauftragten 
für den Datenschutz und die Informationsfreiheit, des- 
sen Unterstützung im Rahmen der Unabhängigkeit 
erfolgt, die ihm bei der Erfüllung seiner Aufgaben nach 
dem Bundesdatenschutzgesetz zusteht; 

13. Unterstützung 

a) der Polizeien und Strafverfolgungsbehörden bei der 
Wahrnehmung ihrer gesetzlichen Aufgaben, 

b) der Verfassungsschutzbehörden bei der Auswertung 
und Bewertung von Informationen, die bei der 


Beobachtung terroristischer Bestrebungen oder 
nachrichtendienstlicher Tätigkeiten im Rahmen der 
gesetzlichen Befugnisse nach den Verfassungs- 
schutzgesetzen des Bundes und der Länder anfallen, 

c) des Bundesnachrichtendienstes bei der Wahrneh- 
mung seiner gesetzlichen Aufgaben. 

Die Unterstützung darf nur gewährt werden, soweit sie 
erforderlich ist, um Tätigkeiten zu verhindern oder zu 
erforschen, die gegen die Sicherheit in der Informa- 
tionstechnik gerichtet sind oder unter Nutzung der 
Informationstechnik erfolgen. Die Unterstützungs- 
ersuchen sind durch das Bundesamt aktenkundig zu 
machen; 

14. Beratung und Warnung der Stellen des Bundes, der 
Länder sowie der Hersteller, Vertreiber und Anwender 
in Fragen der Sicherheit in der Informationstechnik un- 
ter Berücksichtigung der möglichen Folgen fehlender 
oder unzureichender Sicherheitsvorkehrungen; 

1 5 . Aufbau geeigneter Kommunikationsstrukturen zur Kri- 
senfrüherkennung, Krisenreaktion und Krisenbewälti- 
gung sowie Koordinierung der Zusammenarbeit zum 
Schutz der kritischen Informationsinfrastrukturen im 
Verbund mit der Privatwirtschaft. 

(2) Das Bundesamt kann die Länder auf Ersuchen bei der 
Sicherung ihrer Informationstechnik unterstützen. 

§4 

Zentrale Meldestelle für die Sicherheit in der 
Informationstechnik 

(1) Das Bundesamt ist die zentrale Meldestelle für die Zu- 
sammenarbeit der Bundesbehörden in Angelegenheiten der 
Sicherheit in der Infonnationstechnik. 

(2) Das Bundesamt hat zur Wahrnehmung dieser Aufgabe 

1 . alle für die Abwehr von Gefahren für die Sicherheit in der 
Infonnationstechnik erforderlichen Informationen, ins- 
besondere zu Sicherheitslücken, Schadprogrammen, er- 
folgten oder versuchten Angriffen auf die Sicherheit in 
der Informationstechnik und der dabei beobachteten Vor- 
gehensweise, zu sammeln und auszuwerten, 

2. die Bundesbehörden unverzüglich über die sie betreffen- 
den Informationen nach Nummer 1 und die in Erfahrung 
gebrachten Zusammenhänge zu unterrichten. 

(3) Werden anderen Bundesbehörden Infonnationen nach 
Absatz 2 Nummer 1 bekannt, die für die Erfüllung von Auf- 
gaben oder die Sicherheit der Informationstechnik anderer 
Behörden von Bedeutung sind, unterrichten diese ab dem 
1 . Januar 2010 das Bundesamt hierüber unverzüglich, soweit 
andere Vorschriften dem nicht entgegenstehen. 

(4) Ausgenommen von den Unterrichtungspflichten nach 
Absatz 2 Nummer 2 und Absatz 3 sind Informationen, die 
aufgrund von Regelungen zum Geheimschutz oder Verein- 
barungen mit Dritten nicht weitergegeben werden dürfen 
oder deren Weitergabe im Widerspruch zu der verfassungs- 
rechtlichen Stellung eines Abgeordneten des Bundestages 
oder eines Verfassungsorgans oder der gesetzlich geregelten 
Unabhängigkeit einzelner Stellen stünde. 

(5) Die Vorschriften zum Schutz personenbezogener 
Daten bleiben unberührt. 
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(6) Das Bundesministerium des Innern erlässt nach Zu- 
stimmung durch den Rat der IT-Beauftragten der Bundes- 
regierung allgemeine Verwaltungsvorschriften zur Durch- 
führung des Absatzes 3. 

§5 

Abwehr von Schadprogrammen und Gefahren für die 
Kommunikationstechnik des Bundes 

(1) Das Bundesamt darf zur Abwehr von Gefahren für die 
Kommunikationstechnik des Bundes 

1. Protokolldaten, die beim Betrieb von Kommunika- 
tionstechnik des Bundes anfallen, erheben und automati- 
siert auswerten, soweit dies zum Erkennen, Eingrenzen 
oder Beseitigen von Störungen oder Fehlem bei der 
Kommunikationstechnik des Bundes oder von Angriffen 
auf die Informationstechnik des Bundes erforderlich ist, 

2. die an den Schnittstellen der Kommunikationstechnik des 
Bundes anfallenden Daten automatisiert auswerten, so- 
weit dies für die Erkennung und Abwehr von Schad- 
programmen erforderlich ist. 

Sofern nicht die nachfolgenden Absätze eine weitere Ver- 
wendung gestatten, muss die automatisierte Auswertung die- 
ser Daten unverzüglich erfolgen und müssen diese nach er- 
folgtem Abgleich sofort und spurenlos gelöscht werden. Die 
Verwendungsbeschränkungen gelten nicht für Protokoll- 
daten, sofern diese weder personenbezogene noch dem Fern- 
meldegeheimnis unterliegende Daten beinhalten. Behörden- 
inteme Protokolldaten dürfen nur im Einvernehmen mit der 
jeweils betroffenen Behörde erhoben werden. 

(2) Protokolldaten nach Absatz 1 Satz 1 Nummer 1 dürfen 
über den für die automatisierte Auswertung nach Absatz 1 
Satz 1 Nummer 1 erforderlichen Zeitraum hinaus, längstens 
jedoch für drei Monate, gespeichert werden, soweit tatsäch- 
liche Anhaltspunkte bestehen, dass diese für den Fall der Be- 
stätigung eines Verdachts nach Absatz 3 Satz 2 zur Abwehr 
von Gefahren, die von dem gefundenen Schadprogramm 
ausgehen oder zur Erkennung und Abwehr anderer Schad- 
programme erforderlich sein können. Durch organisato- 
rische und technische Maßnahmen ist sicherzustellen, dass 
eine Auswertung der nach diesem Absatz gespeicherten Da- 
ten nur automatisiert erfolgt. Eine nicht automatisierte Aus- 
wertung oder eine personenbezogene Verwendung ist nur 
nach Maßgabe der nachfolgenden Absätze zulässig. 

(3) Eine über die Absätze 1 und 2 hinausgehende Verwen- 
dung personenbezogener Daten ist nur zulässig, wenn be- 
stimmte Tatsachen den Verdacht begründen, dass 

1. diese ein Schadprogramm enthalten, 

2. diese durch ein Schadprogramm übermittelt wurden oder 

3. sich aus ihnen Hinweise auf ein Schadprogramm ergeben 
können, 

und soweit die Datenverarbeitung erforderlich ist, um den 
Verdacht zu bestätigen oder zu widerlegen. Im Falle der 
Bestätigung ist die weitere Verarbeitung personenbezogener 
Daten zulässig, soweit dies 

1. zur Abwehr des Schadprogramms, 

2. zur Abwehr von Gefahren, die von dem aufgefündenen 
Schadprogramm ausgehen oder 


3. zur Erkennung und Abwehr anderer Schadprogramme 
erforderlich ist. 

Ein Schadprogramm kann beseitigt oder in seiner Funktions- 
weise gehindert werden. Die nicht automatisierte Verwen- 
dung der Daten nach den Sätzen 1 und 2 darf nur durch einen 
Bediensteten des Bundesamtes mit der Befähigung zum 
Richteramt angeordnet werden. Die Beteiligten des Kommu- 
nikationsvorgangs sind spätestens nach dem Erkennen und 
der Abwehr eines Schadprogramms oder von Gefahren, die 
von einem Schadprogramm ausgehen, zu benachrichtigen, 
wenn sie bekannt sind oder ihre Identifikation ohne unver- 
hältnismäßige weitere Ermittlungen möglich ist und nicht 
überwiegende schutzwürdige Belange Dritter entgegenste- 
hen. Die Unterrichtung kann unterbleiben, wenn die Person 
nur unerheblich betroffen wurde und anzunehmen ist, dass 
sie an einer Benachrichtigung kein Interesse hat. In den 
Fällen der Absätze 4 und 5 erfolgt die Benachrichtigung 
durch die dort genannten Behörden in entsprechender An- 
wendung der für diese Behörden geltenden Vorschriften. 
Enthalten diese keine Bestimmungen zu Benachrichtigungs- 
pflichten, sind die Vorschriften der Strafprozessordnung ent- 
sprechend anzuwenden. 

(4) Das Bundesamt kann die nach Absatz 3 verwendeten 
personenbezogenen Daten an die Strafverfolgungsbehörden 
zur Verfolgung einer Straftat von erheblicher Bedeutung 
oder einer mittels Telekommunikation begangenen Straftat 
übermitteln. Es kann diese Daten ferner übermitteln 

1 . zur Abwehr einer Gefahr für die öffentliche Sicherheit, 
die unmittelbar von einem Schadprogramm ausgeht, an 
die Polizeien des Bundes und der Länder, 

2. zur Unterrichtung über Tatsachen, die sicherheitsgefähr- 
dende oder geheimdienstliche Tätigkeiten für eine frem- 
de Macht erkennen lassen, an das Bundesamt für Verfas- 
sungsschutz. 

(5) Für sonstige Zwecke kann das Bundesamt die Daten 
übermitteln 

1 . an die Polizeien des Bundes und der Länder zur Abwehr 
einer Gefahr für den Bestand oder die Sicherheit des 
Staates oder Leib, Leben oder Freiheit einer Person oder 
Sachen von bedeutendem Wert, deren Erhalt im öffent- 
lichen Interesse geboten ist, 

2. an die Verfassungsschutzbehörden des Bundes und der 
Länder, wenn tatsächliche Anhaltspunkte für Bestrebun- 
gen in der Bundesrepublik Deutschland vorliegen, die 
durch Anwendung von Gewalt oder darauf gerichtete 
Vorbereitungshandlungen gegen die in § 3 Absatz 1 des 
Bundesverfassungsschutzgesetzes genannten Schutzgü- 
ter gerichtet sind. 

Die Übermittlung nach Satz 1 Nummer 1 bedarf der gericht- 
lichen Zustimmung. Für das Verfahren nach Satz 1 Num- 
mer 1 gelten die Vorschriften des Gesetzes über die Angele- 
genheiten der freiwilligen Gerichtsbarkeit entsprechend. 
Zuständig ist das Amtsgericht, in dessen Bezirk das Bun- 
desamt seinen Sitz hat. Die Übermittlung nach Satz 1 Num- 
mer 2 erfolgt nach Zustimmung des Bundesministeriums des 
Innern; die §§ 9 bis 16 des Artikel 10-Gesetzes gelten ent- 
sprechend. 

(6) Eine über die vorstehenden Absätze hinausgehende 
inhaltliche Auswertung zu anderen Zwecken und die Weiter- 
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gäbe von personenbezogenen Daten an Dritte sind unzuläs- 
sig. Werden aufgrund der Maßnahmen der Absätze 1 bis 3 
Erkenntnisse aus dem Kernbereich privater Lebensgestal- 
tung oder Daten im Sinne des § 3 Absatz 9 des Bundes- 
datenschutzgesetzes erlangt, dürfen diese nicht verwendet 
werden. Erkenntnisse aus dem Kembereich privater Lebens- 
gestaltung sind unverzüglich zu löschen. Bestehen Zweifel, 
ob Erkenntnisse dem Kernbereich privater Lebensgestaltung 
zuzurechnen sind, sind diese entweder ebenfalls zu löschen 
oder unverzüglich dem Bundesministerium des Innern zur 
Entscheidung über ihre Verwertbarkeit oder Löschung vor- 
zulegen. Die Tatsache ihrer Erlangung und Löschung ist zu 
dokumentieren. Die Dokumentation darf ausschließlich für 
Zwecke der Datenschutzkontrolle verwendet werden. Sie ist 
zu löschen, wenn sie für diese Zwecke nicht mehr erforder- 
lich ist, spätestens jedoch am Ende des Kalenderjahres, das 
dem Jahr der Dokumentation folgt. 

(7) Vor Aufnahme der Datenerhebung und -Verwendung 
hat das Bundesamt ein Datenerhebungs- und -verwendungs- 
konzept zu erstellen und für Kontrollen durch den Bundes- 
beauftragten für den Datenschutz und die Infonnations- 
freiheit bereitzuhalten. Das Konzept hat dem besonderen 
Schutzbedürfnis der Regierungskommunikation Rechnung 
zu tragen. Der Bundesbeauftragte für den Datenschutz und 
die Informationsfreiheit teilt das Ergebnis seiner Kontrollen 
nach § 24 des Bundesdatenschutzgesetzes auch dem Rat der 
IT-Beauftragten der Bundesregierung mit. 

§6 

Löschung 

Soweit das Bundesamt im Rahmen seiner Befugnisse per- 
sonenbezogene Daten erhebt, sind diese unverzüglich zu 
löschen, sobald sie für die Erfüllung der Aufgaben, für die 
sie erhoben worden sind, oder für eine etwaige gerichtliche 
Überprüfung nicht mehr benötigt werden. Soweit die 
Löschung lediglich für eine etwaige gerichtliche Überprü- 
fung von Maßnahmen nach § 5 Absatz 3 zurückgestellt ist, 
dürfen die Daten ohne Einwilligung des Betroffenen nur 
zu diesem Zweck verwendet werden; sie sind für andere 
Zwecke zu sperren. § 5 Absatz 6 bleibt unberührt. 

§7 

Warnungen 

(1) Zur Erfüllung seiner Aufgaben nach § 3 Absatz 1 
Satz 2 Nummer 14 kann das Bundesamt Warnungen vor 
Sicherheitslücken in infonnationstechnischen Produkten 
und Diensten und vor Schadprogrammen an die betroffenen 
Kreise oder die Öffentlichkeit weitergeben oder Sicherheits- 
maßnahmen sowie den Einsatz bestimmter Sicherheitspro- 
dukte empfehlen. Soweit entdeckte Sicherheitslücken oder 
Schadprogramme nicht allgemein bekannt werden sollen, 
um eine Weiterverbreitung oder rechtswidrige Ausnutzung 
zu verhindern oder weil das Bundesamt gegenüber Dritten 
zur Vertraulichkeit verpflichtet ist, kann es den Kreis der zu 
warnenden Personen anhand sachlicher Kriterien einschrän- 
ken; sachliche Kriterien können insbesondere die besondere 
Gefährdung bestimmter Einrichtungen oder die besondere 
Zuverlässigkeit des Empfängers sein. 

(2) Zur Erfüllung seiner Aufgaben nach § 3 Absatz 1 
Satz 2 Nummer 14 kann das Bundesamt die Öffentlichkeit 
unter Nennung der Bezeichnung und des Herstellers des 
betroffenen Produkts vor Sicherheitslücken in infonna- 
tionstechnischen Produkten und Diensten und vor Schad- 


programmen warnen oder Sicherheitsmaßnahmen sowie den 
Einsatz bestimmter Sicherheitsprodukte empfehlen, wenn 
hinreichende Anhaltspunkte dafür vorliegen, dass Gefahren 
für die Sicherheit in der Informationstechnik hiervon ausge- 
hen. Stellen sich die an die Öffentlichkeit gegebenen Infor- 
mationen im Nachhinein als falsch oder die zugrunde liegen- 
den Umstände als unzutreffend wiedergegeben heraus, ist 
dies unverzüglich öffentlich bekannt zu machen. 

§8 

Vorgaben des Bundesamtes 

(1) Das Bundesamt kann Mindeststandards für die Siche- 
rung der Informationstechnik des Bundes festlegen. Das Bun- 
de sministerium des Innern kann nach Zustimmung des Rats 
der IT-Beauftragten der Bundesregierung die nach Satz 1 
festgelegten Anforderungen ganz oder teilweise als allgemei- 
ne Verwaltungsvorschriften für alle Stellen des Bundes erlas- 
sen. Soweit in einer allgemeinen Verwaltungsvorschrift Si- 
cherheitsvorgaben des Bundesamtes für ressortübergreifende 
Netze sowie die für den Schutzbedarf des jeweiligen Netzes 
notwendigen und von den Nutzem des Netzes umzusetzenden 
Sicherheitsanforderungen enthalten sind, werden diese Inhal- 
te im Benehmen mit dem Rat der IT-Beauftragten der Bun- 
desregierung festgelegt. Für die in § 2 Absatz 3 Satz 2 
genannten Gerichte und Verfassungsorgane haben die Vor- 
schriften nach diesem Absatz empfehlenden Charakter. 

(2) Das Bundesamt stellt im Rahmen seiner Aufgaben 
nach § 3 Absatz 1 Satz 2 Nummer 10 technische Richtlinien 
bereit, die von den Stellen des Bundes als Rahmen für die 
Entwicklung sachgerechter Anfordemngen an Auftragneh- 
mer (Eignung) und IT-Produkte (Spezifikation) für die 
Durchführung von Vergabeverfahren berücksichtigt werden. 
Die Vorschriften des Vergaberechts und des Geheimschutzes 
bleiben unberührt. 

(3) Die Bereitstellung von IT-Sicherheitsprodukten durch 
das Bundesamt nach § 3 Absatz 1 Satz 2 Nummer 1 1 erfolgt 
durch Eigenentwicklung oder nach Durchführung von Ver- 
gabeverfahren aufgrund einer entsprechenden Bedarfs- 
feststellung. Die Vorschriften des Vergaberechts bleiben un- 
berührt. Wenn das Bundesamt IT-Sicherheitsprodukte 
bereitstellt, können die Bundesbehörden diese Produkte 
beim Bundesamt abrufen. Durch Beschluss des Rats der 
IT-Beauftragten der Bundesregierung kann festgelegt wer- 
den, dass die Bundesbehörden verpflichtet sind, diese Pro- 
dukte beim Bundesamt abzurufen. Eigenbeschaffungen 
anderer Bundesbehörden sind in diesem Fall nur zulässig, 
wenn das spezifische Anforderungsprofil den Einsatz abwei- 
chender Produkte erfordert. Die Sätze 4 und 5 gelten nicht 
für die in § 2 Absatz 3 Satz 2 genannten Gerichte und Ver- 
fassungsorgane. 

§9 

Zertifizierung 

(1) Das Bundesamt ist nationale Zertifizierungsstelle der 
Bundesverwaltung für IT-Sicherheit. 

(2) Für bestimmte Produkte oder Leistungen kann beim 
Bundesamt eine Sicherheits- oder Personenzertifizierung 
oder eine Zertifizierung als IT-Sicherheitsdienstleister bean- 
tragt werden. Die Anträge werden in der zeitlichen Reihen- 
folge ihres Eingangs bearbeitet; hiervon kann abgewichen 
werden, wenn das Bundesamt wegen der Zahl und des Um- 
fangs anhängiger Prüfungsverfahren eine Prüfung in ange- 
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messener Zeit nicht durchführen kann und an der Erteilung 
eines Zertifikats ein öffentliches Interesse besteht. Der An- 
tragsteller hat dem Bundesamt die Unterlagen vorzulegen 
und die Auskünfte zu erteilen, deren Kenntnis für die Prü- 
fung und Bewertung des Systems oder der Komponente oder 
der Eignung der Person sowie für die Erteilung des Zerti- 
fikats erforderlich ist. 

(3) Die Prüfung und Bewertung kann durch vom Bundes- 
amt anerkannte sachverständige Stellen erfolgen. 

(4) Das Sicherheitszertifikat wird erteilt, wenn 

1. informationstechnische Systeme, Komponenten, Produk- 
te oder Schutzprofile den vom Bundesamt festgelegten 
Kriterien entsprechen und 

2. das Bundesministerium des Innern festgestellt hat, dass 
überwiegende öffentliche Interessen, insbesondere 
sicherheitspolitische Belange der Bundesrepublik 
Deutschland, der Erteilung nicht entgegenstehen. 

(5) Für die Zertifizierung von Personen und IT-Sicher- 
heitsdienstleistern gilt Absatz 4 entsprechend. 

(6) Eine Anerkennung nach Absatz 3 wird erteilt, wenn 

1 . die sachliche und personelle Ausstattung sowie die fach- 
liche Qualifikation und Zuverlässigkeit der Konformi- 
tätsbewertungsstelle den vom Bundesamt festgelegten 
Kriterien entspricht und 

2. das Bundesministerium des Innern festgestellt hat, dass 
überwiegende öffentliche Interessen, insbesondere 
sicherheitspolitische Belange der Bundesrepublik 
Deutschland, der Erteilung nicht entgegenstehen. 

Das Bundesamt stellt durch die notwendigen Maßnahmen si- 
cher, dass das Fortbestehen der Voraussetzungen nach Satz 1 
regelmäßig überprüft wird. 

(7) Sicherheitszertifikate anderer anerkannter Zertifizie- 
rungsstellen aus dem Bereich der Europäischen Union wer- 
den vom Bundesamt anerkannt, soweit sie eine den Sicher- 
heitszertifikaten des Bundesamtes gleichwertige Sicherheit 
ausweisen und die Gleichwertigkeit vom Bundesamt festge- 
stellt worden ist. 

§ io 

Ermächtigung zum Erlass von Rechtsverordnungen 

(1) Das Bundesministerium des Innern bestimmt nach 
Anhörung der betroffenen Wirtschaftsverbände und im Ein- 
vernehmen mit dem Bundesministerium für Wirtschaft und 
Technologie durch Rechtsverordnung ohne Zustimmung des 
Bundesrates das Nähere über das Verfahren der Erteilung 
von Sicherheitszertifikaten und Anerkennungen nach § 9 
und deren Inhalt. 

(2) Für Amtshandlungen nach diesem Gesetz und nach 
den zur Durchführung dieses Gesetzes erlassenen Rechtsver- 
ordnungen werden Gebühren und Auslagen erhoben. Die 
Höhe der Gebühren richtet sich nach dem mit den Amts- 
handlungen verbundenen Verwaltungsaufwand. Das Bun- 
desministerium des Innern bestimmt im Einvernehmen mit 
dem Bundesministerium der Finanzen durch Rechtsverord- 
nung ohne Zustimmung des Bundesrates die gebührenpflich- 
tigen Tatbestände, die Gebührensätze und die Auslagen. 


§ 11 

Einschränkung von Grundrechten 

Das Fernmeldegeheimnis (Artikel 10 des Grundgesetzes) 
wird durch § 5 eingeschränkt. 

§ 12 

Rat der IT-Beauftragten der Bundesregierung 

Wird der Rat der IT-Beauftragten der Bundesregierung 
aufgelöst, tritt an dessen Stelle die von der Bundesregierung 
bestimmte Nachfolgeorganisation. Die Zustimmung des 
Rats der IT-Beauftragten kann durch Einvernehmen aller 
Bundesministerien ersetzt werden. Wird der Rat der IT-Be- 
auftragten ersatzlos aufgelöst, tritt an Stelle seiner Zustim- 
mung das Einvernehmen aller Bundesministerien. 

Artikel 2 

Änderung des Telekommunikationsgesetzes 

§ 109 des Telekommunikationsgesetzes vom 22. Juni 
2004 (BGBl. I S. 1190), das zuletzt durch Artikel 2 des Ge- 
setzes vom 21. Dezember 2007 (BGBl. I S. 3198) geändert 
worden ist, wird wie folgt geändert: 

1 . ln Absatz 2 werden nach Satz 2 die folgenden Sätze ein- 
gefügt: 

„Die Bundesnetzagentur erstellt im Benehmen mit dem 
Bundesamt für Sicherheit in der Informationstechnik und 
dem Bundesbeauftragten für den Datenschutz und die In- 
formationsfreiheit einen Katalog von Sicherheitsanforde- 
rungen für das Betreiben von Telekommunikations- und 
Datenverarbeitungssystemen. Sie gibt den Herstellern 
und Betreibern von Telekommunikationsanlagen Gele- 
genheit zur Stellungnahme. Der Katalog wird von der 
Bundesnetzagentur veröffentlicht.“ 

2. Absatz 3 wird wie folgt geändert: 

a) Nach Satz 4 wird folgender Satz eingefügt: 

„Die Bundesnetzagentur prüft in regelmäßigen Ab- 
ständen unter Berücksichtigung der Bedeutung der Te- 
lekommunikationsanlage die Umsetzung des Sicher- 
heitskonzeptes bei dem nach Satz 1 Verpflichteten.“ 

b) Der bisherige Satz 6 wird aufgehoben. 

Artikel 3 

Änderung des Telemediengesetzes 

Dem § 15 des Telemediengesetzes vom 26. Februar 2007 
(BGBl. I S. 179) wird folgender Absatz 9 angefügt: 

„(9) Soweit erforderlich, darf der Diensteanbieter Nut- 
zungsdaten zum Erkennen, Eingrenzen oder Beseitigen von 
Störungen seiner für Zwecke seines Dienstes genutzten tech- 
nischen Einrichtungen erheben und verwenden. Absatz 8 
Satz 2 und 3 gilt entsprechend.“ 

Artikel 4 

Inkrafttreten, Außerkrafttreten 

Dieses Gesetz tritt am Tag nach der Verkündung in Kraft. 
Gleichzeitig tritt das BSI-Errichtungsgesetz vom 17. De- 
zember 1990 (BGBl. I S. 2834), das zuletzt durch Artikel 25 
der Verordnung vom 3 1 . Oktober 2006 (BGBl. I S. 2407) ge- 
ändert worden ist, außer Kraft. 
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Begründung 


A. Allgemeiner Teil 

I. Ziel und Inhalt des Entwurfs 

Das Gesetz über die Errichtung des Bundesamtes für Sicher- 
heit in der Infonnationstechnik (BS1G) ist 1991 in Kraft ge- 
treten und seitdem im Wesentlichen unverändert geblieben. 
Die an das Bundesamt für Sicherheit in der Informa- 
tionstechnik (BSI) gestellten Erwartungen, welche Aufga- 
ben es wahrnehmen soll, werden im Gesetz nicht mehr voll- 
ständig widergespiegelt. 

De lege lata sind die wesentlichen Aufgaben des BSI die Un- 
terstützung anderer Behörden in IT-Sicherheitsfragen und 
die Vergabe von Sicherheitszertifikaten. Allein mit der Ver- 
gabe von Sicherheitszertifikaten kann das BSI allerdings 
keinen entscheidenden Einfluss auf die Gestaltung der IT-In- 
frastrukturen nehmen. Auch ist eine Beratung der Öffent- 
lichkeit im BSIG nicht ausdrücklich angelegt. Die Unterstüt- 
zungsfunktion für andere Behörden ist zwar als Aufgabe im 
BSIG enthalten, aber nicht weiter ausgestaltet. Das BSI hat 
insbesondere keine eigenen Befugnisse, sondern wird nur 
auf und im Rahmen einer Anforderung tätig. 

Durch die Änderungen im BSIG sollen dem BSI eigene Be- 
fugnisse eingeräumt werden, auch ohne Amtshilfeersuchen 
anderer Behörden zur Erhöhung der IT-Sicherheit in der 
Bundesverwaltung und zur Abwehr von Gefahren für die In- 
formationstechnik des Bundes tätig zu werden. Dies beinhal- 
tet die Vorgabe von allgemeinen technischen Richtlinien für 
die Sicherheit, von konkreten Vorgaben für die Konfigura- 
tion der Informationstechnik im Einzelfall und Maßnahmen 
zur Abwehr konkreter Gefahren. Als Zentralstelle für IT-Si- 
cherheit sammelt das BSI Informationen zu Schwachstellen 
und Schadprogrammen, wertet diese aus und informiert die 
betroffenen Stellen oder warnt die Öffentlichkeit. 

Soweit hierdurch Synergieeffekte genutzt und Bürokratie- 
kosten eingespart werden können, werden bestimmte IT-Si- 
cherheitsaufgaben im Telekommunikationsgesetz (TKG) auf 
das BSI übertragen. 

II. Gesetzgebungskompetenz 

Für die Regelungen, die unmittelbar die Sicherung der Infor- 
mationstechnik in der Bundesverwaltung betreffen, hat der 
Bund eine ungeschriebene Gesetzgebungskompetenz kraft 
Natur der Sache sowie aus Artikel 86 Satz 2 des Grund- 
gesetzes (GG). Dies gilt auch, soweit in § 3 Absatz 1 
Nummer 14, Absatz 2 und 5 BSIG die Unterstützung ins- 
besondere von Landesbehörden auf deren Ersuchen als Auf- 
gabe einer Bundesbehörde geregelt wird. Soweit das Bun- 
desamt durch Empfehlungen von Sicherheitsstandards, die 
Ausgabe des Sicherheitszertifikats, Warnungen und Emp- 
fehlungen sowie durch die Koordinierung der notwendigen 
Maßnahmen zum Schutz der Informationstechnik kritischer 
Infrastrukturen in der Wirtschaft wettbewerbsrelevante 
außenwirksame Tätigkeiten entfaltet, folgt die Gesetz- 
gebungskompetenz für diese Teilbereiche aus der konkurrie- 
renden Gesetzgebungskompetenz für das Recht der Wirt- 
schaft (Artikel 74 Absatz 1 Nummer 11 GG). Dasselbe gilt 
für die Änderung des Telemediengesetzes. Die Berechtigung 


des Bundes zur Inanspruchnahme dieser Gesetzgebungs- 
kompetenz ergibt sich aus Artikel 72 Absatz 2 GG. Eine 
bundesgesetzliche Regelung dieser Materie ist zur Wahrung 
der Wirtschaftseinheit im Bundesgebiet im gesamtstaat- 
lichen Interesse erforderlich. Eine Regelung durch den 
Landesgesetzgeber würde zu erheblichen Nachteilen für die 
Gesamtwirtschaft führen, die sowohl im Interesse des 
Bundes als auch der Länder nicht hingenommen werden 
können. Insbesondere wäre zu befürchten, dass unterschied- 
liche landesrechtliche Behandlungen gleicher Lebenssachver- 
halte, z. B. unterschiedliche Voraussetzungen für die Vergabe 
von Sicherheitszertifikaten, erhebliche Wettbewerbsverzer- 
rungen und störende Schranken für die länderübergreifende 
Wirtschaftstätigkeit zur Folge hätten. Internationale Abkom- 
men zur gegenseitigen Anerkennung von IT-Sicherheits- 
zertifikaten setzen voraus, dass in jedem Staat nur eine 
einzige hoheitliche Zertifizierungssteile existiert. Gerade 
Telemedienangebote sind typischerweise bundesweit zu- 
gänglich. Unterschiedliche technische Ausgestaltungsrege- 
lungen in den Ländern wären praktisch nicht umsetzbar. Im 
Interesse des Bundes und der Länder muss die Teilhabe an 
einer sich stetig weiterentwickelnden Informationsgesell- 
schaft, der eine wesentliche wirtschaftslenkende Bedeutung 
zukommt, gewahrt bleiben. Regelungen auf dem Gebiet der 
Telekommunikation können auf die ausschließliche Gesetz- 
gebungskompetenz des Bundes nach Artikel 73 Absatz 1 
Nummer 7 GG gestützt werden. 

III. Vereinbarkeit mit dem Recht der Europäischen Union 

Der Gesetzentwurf ist mit dem Recht der Europäischen 
Union vereinbar. 

IV. Kosten 

Das Gesetz bewirkt keine Haushaltsausgaben ohne Voll- 
zugsaufwand. 

Die neu zu schaffenden Befugnisse des BSI sind mit einem 
entsprechenden Vollzugsaufwand verbunden. Dessen Um- 
fang und damit die Höhe der Vollzugskosten sind maßgeb- 
lich von der zukünftigen Entwicklung der IT-Sicherheitslage 
abhängig und daher nicht zu beziffern. Den Großteil der zu- 
künftig anfallenden administrativen Aufgaben erfüllt das 
BSI bereits heute in Form unverbindlicher Beratungsange- 
bote und im Rahmen von Amtshilfeersuchen. Bei unverän- 
derter Sicherheitslage ist daher nur mit einer geringfügigen 
Erhöhung des Vollzugsaufwands zu rechnen. 

Die neuen oder zukünftig aufgrund der Neufassung des 
BSIG in größerem Umfang wahrzunehmenden Aufgaben er- 
fordern beim BSI zusätzliche zehn Planstellen/Stellen sowie 
Personal- und Sachkosten in Höhe von ca. 1 180 000 Euro 
jährlich. Der Personalbedarf resultiert aus den neu geschaf- 
fenen Aufgaben nach § 3 Absatz 1 Nummer 1 1 (zentrale Be- 
reitstellung von IT-Sicherheitsprodukten), § 4 (zentrale Mel- 
destelle), § 5 Absatz 1 bis 4 (Abwehr von Gefahren für die 
Kommunikationstechnik des Bundes) sowie aus der neu hin- 
zukommenden Zertifizierung von Dienstleistem (§9) und 
der Mitwirkung bei der Erstellung eines Katalogs von 
Sicherheitsanforderungen für Telekommunikations- und 
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Datenverarbeitungssysteme (§ 109 Absatz 2 Satz 3 TKG). 
Der Mehrbedarf bei den Sachkosten verteilt sich auf den 
Betrieb eines Meldeportals für die Meldestellenfunktion 
(500 000 Euro p. a.) und die Bereitstellung von IT-Sicher- 
heitsprodukten (100 000 Euro p. a.). Für die Wahrnehmung 
der neuen Aufgaben aus § 109 Absatz 2 Satz 3 und 4 TKG, 
Erstellen, Koordinieren und Pflegen eines Katalogs von 
Sicherheitsanforderungen für das Betreiben von Telekom- 
munikations- und Datenverarbeitungsanlagen, und § 109 
Absatz 3 Satz 5 TKG, regelmäßige Prüfung der Umsetzung 
der Sicherheitskonzepte, benötigt die BNetzA zusätzlich 
drei Planstellen im gehobenen technischen Dienst sowie Per- 
sonal- und Sachkosten in Höhe von ca. 300 000 Euro jähr- 
lich. 

Soweit Kosten für die Entwicklung oder zentrale Beschaf- 
fung von IT-Sicherheitsprodukten entstehen, können diese 
durch Einsparungen bei anderen Stellen kompensiert wer- 
den, die entsprechende Produkte nicht mehr einzeln beschaf- 
fen müssen. Zusätzliches Einsparungspotenzial ergibt sich 
aus der Nutzung von Synergien und Mengenrabatten. 

Kosten für die Wirtschaft können wie bislang bei Beantra- 
gung eines Sicherheitszertifikats nach Maßgabe der BSI- 
Kostenverordnung (BSI-KostV) entstehen. Da das BSI- 
Sicherheitszertifikat freiwillig ist, können es die Unterneh- 
men von einer Wirtschaftlichkeitsbetrachtung abhängig 
machen, ob sie ihr Produkt einem Zertifizierungsverfahren 
mit der damit ggf. einhergehenden Kostenfolge unterziehen. 

Das Gesetz enthält fünf neue Informationspflichten für die 
Verwaltung. Durch die Informationspflichten in § 4 Absatz 2 
Nummer 2 und Absatz 3 BSIG wird der Informationsaus- 
tausch zu Sicherheitslücken, Sicherheitsvorkehrungen über 
das BS1 kanalisiert. Das BS1 informiert, insbesondere über 
das CERT-Bund (CERT = Computer Emergency Response 
Team), schon heute die Bundesbehörden zeitnah zu aktuellen 
IT-Sicherheitsfragen. Dies wird durch die Informations- 
pflicht in § 4 Absatz 2 Nummer 2 konkretisiert. Gegenüber 
den bisher bestehenden Strukturen, bei denen das BS1 auf 
freiwillige bzw. zufällige Infonnationen angewiesen ist, 
schafft die Meldepflicht in § 4 Absatz 3 eine bessere Daten- 
basis und ermöglicht die zentrale Auswertung und Aufberei- 
tung und Verteilung der IT-Sicherheitsinformationen an die 
übrigen Bundesbehörden. Würde das BSI nicht wie vorgese- 
hen als zentrale Stelle tätig, müssten im Zweifel alle Bundes- 
behörden parallel derartige Strukturen und die erforderlichen 
technischen Fähigkeiten und Fertigkeiten aufbauen, um auf 
dem für den Betrieb und Schutz ihrer internen Infonnations- 
technik erforderlichen Wissensstand zu bleiben. Insofern 
wurde die kostengünstigste Regelungsalternative gewählt, 
die im höchstmöglichen Maß Synergieeffekte nutzt. 

Die Informationspflichten aus § 5 Abs. 3 Satz 5 (Benach- 
richtigungspflicht an Betroffene), Absatz 6 Satz 4 (Benach- 
richtigung des BMI bei Zweifeln über Kembereichsrele- 
vanz) und § 7 Abs. 2 Satz 2 (Richtigstellungspflicht) dienen 
der Wahrung der Rechte der Betroffenen und sind verfas- 
sungsrechtlich vorgegeben. 

Informationspflichten oder Kosten für Bürgerinnen und Bür- 
ger entstehen nicht. Den Wirtschaftsunternehmen entstehen 
durch dieses Gesetz Kosten, soweit sie ihr Produkt freiwillig 
einem Zertifizierungsverfahren mit der damit ggf. einher- 
gehenden Kostenfolge unterziehen. Auswirkungen auf die 
Einzelpreise und das Preisniveau, insbesondere auf das Ver- 


braucherpreisniveau, sind von diesem Gesetz nicht zu erwar- 
ten. 

V. Auswirkungen von gleichstellungspolitischer 
Bedeutung 

Auswirkungen von gleichstellungspolitischer Bedeutung 
sind nicht zu erwarten. 

B. Besonderer Teil 
Zu Artikel 1 (BSI-Gesetz) 

Zu § 1 

Die Vorschrift legt fest, dass der Bund das BSI im Geschäfts- 
bereich des Bundesministeriums des Innern (BMI) unterhält. 

Zu §2 
Zu Absatz 1 

Die Regelung bleibt unverändert. 

Zu Absatz 2 

Redaktionelle Anpassung der Legaldefmition. 

Zu Absatz 3 

Die neuen Befugnisse sollen sich auf den Schutz der Kom- 
munikationstechnik des Bundes beziehen. Diese wird in § 2 
Absatz 3 legaldefmiert. Der Begriff „Kommunikationstech- 
nik des Bundes“ umfasst grundsätzlich alle informations- 
technischen Systeme und deren Bestandteile, soweit sie 
durch den Bund oder im Auftrag des Bundes für diesen be- 
trieben werden und der Kommunikation oder dem Daten- 
austausch dienen. Damit sind nicht an Behördennetze an- 
geschlossene Geräte, bei denen Sicherheitslücken i. d. R. 
keine Auswirkungen auf die Sicherheit der übrigen Informa- 
tionstechnik haben, ausgenommen. Nicht erfasst ist Kom- 
munikationstechnik, die von Dritten für die Allgemeinheit 
angeboten wird und auch von Behörden genutzt wird (z. B. 
öffentliche Telekommunikationsnetze). Die verfassungs- 
rechtliche Stellung des Deutschen Bundestages, des Bundes- 
rates und des Bundespräsidenten sowie der Bundesgerichte 
ist im Gesetz zu berücksichtigen. Deshalb ist deren Kommu- 
nikationstechnik, soweit sie in eigener Zuständigkeit betrie- 
ben wird, nicht Gegenstand dieses Gesetzes, ln der Praxis 
besteht hier die Möglichkeit, z. B. für die Kommunikation 
der Richter einen „Bypass-Anschluss“ einzurichten, der 
unter Umgehung der innerhalb des Verwaltungsnetzes not- 
wendigen Sicherheitsvorkehrungen einen unmittelbaren 
Anschluss an das Internet oder andere öffentliche Telekom- 
munikationsnetze ermöglicht. 

Zu Absatz 4 

Mit den Schnittstellen der Kommunikationstechnik des Bun- 
des sind die Übergänge beschrieben, an denen aus Gründen 
der IT-Sicherheit eine Auswertung von Daten notwendig ist 
bzw. sein kann. Davon erfasst sind Übergänge zwischen den 
übergreifenden Kommunikationsnetzen der Bundesverwal- 
tung inklusive der Übergänge zwischen virtuellen Netzen 
oder zwischen unterschiedlichen Schutzzonen innerhalb 
eines Netzes sowie zwischen einzelnen internen Behörden- 
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netzen oder den Netzen einer Gruppe von Behörden sowie zu 
Ländemetzen, dem Internet und anderen nicht der Bundes- 
verwaltung zuzurechnenden Netzen. Ausgenommen hiervon 
ist ein direkter bzw. automatisierter Zugriff auf die Proto- 
kolldaten und Kommunikationsinhalte, die an den Kompo- 
nenten der Netzwerkübergänge der in Absatz 3 Satz 2 ge- 
nannten Verfassungsorgane und Gerichte erzeugt bzw. 
gespeichert werden, soweit diese in eigener Zuständigkeit 
betrieben werden. 

Zu den Absätzen 5 und 6 

Gefahren für die Sicherheit in der Informationstechnik ge- 
hen insbesondere von Schadprogrammen sowie von Sicher- 
heitslücken in informationstechnischen Systemen aus, die in 
den Absätzen 5 und 6 legaldefiniert werden. 

Die Definition von Schadprogrammen in Absatz 5 entspricht 
im Wesentlichen der in der Infonnationstechnik üblichen 
Tenninologie. Maßgeblich ist, dass die Programme dem 
Zweck dienen, unbefugt unerwünschte Funktionen auszu- 
führen. Nicht erfasst sind damit unbeabsichtigte Sicherheits- 
lücken in normalen Programmen. Schadprogramme können 
typischerweise Schäden verursachen, dies ist aber keine 
zwingende Voraussetzung. Moderne Schadprogramme 
zeichnen sich gerade dadurch aus, dass sie möglichst unauf- 
fällig und klein sind. Schadfunktionen sind zunächst nicht 
enthalten, können aber ggf. nachgeladen werden. Auch der 
Versand von Spam, also die massenhafte Versendung uner- 
wünschter E-Mails, oder sogenannte DoS-Angriffe (Denial 
of Service, Massenanfragen, um Server durch Überlastung 
lahmzulegen) sind informationstechnische Routinen, die ge- 
eignet sind, unbefugt informationstechnische Prozesse zu 
beeinflussen. 

Sicherheitslücken sind hingegen unerwünschte Eigenschaf- 
ten von infonnationstechnischen Systemen, insbesondere 
Computerprogrammen, die es Dritten erlauben, gegen den 
Willen des Berechtigten dessen Informationstechnik zu be- 
einflussen. Eine Beeinflussung muss nicht zwingend darin 
bestehen, dass sich der Angreifer Zugang zum System ver- 
schafft und dieses dann manipulieren kann. Es genügt auch, 
dass die Funktionsweise in sonstiger Weise beeinträchtigt 
werden kann, z. B. durch ein ungewolltes Abschalten. Der 
Begriff ist notwendigerweise weit gefasst, da Sicherheits- 
lücken in den unterschiedlichsten Zusammenhängen, oft- 
mals abhängig von der Konfiguration oder Einsatzumge- 
bung, entstehen können. 

Zu Absatz 7 

Das Zertifizierungsverfahren des BS1 entspricht den Vorga- 
ben der einschlägigen technischen Normen. Um dies auch 
gesetzlich abzubilden, wird der Begriff der Zertifizierung in 
Anlehnung an die insbesondere in der Norm DIN EN ISO/ 
1EC 17 000 verwendeten Begriffe definiert. 

Die Prüfung und Bestätigung der Konformität im Bereich 
der IT-Sicherheit beinhaltet zentral die IT-Sicherheitsfunk- 
tionalität ergänzt um Interoperabilität und operationelle 
Funktionalitätsaspekte, insbesondere bei Auflagen, die die 
Produkte und die Komponenten in bestimmten Systemen 
bzw. Netzverbünden erfüllen müssen. 

Zu Absatz 8 

Störungen, Fehlfunktionen von und Angriffe auf IT-Systeme 
können technisch oft durch eine Analyse der Protokolldaten 


erkannt werden. Protokolldaten sind in erster Linie die Steu- 
erdaten, die bei jedem Datenpaket mit übertragen werden, 
um die Kommunikation zwischen Sender und Empfänger 
technisch zu gewährleisten. Hinzu treten die Daten, die zwar 
nicht mit übertragen aber im Rahmen der Protokollierung 
von den Servern im Übertragungsprotokoll miterfasst wer- 
den, insbesondere Datum und Uhrzeit des Protokolleintrags 
und ggf. Absender und Weiterleitungskennungen. Von be- 
sonderer Relevanz für die Erkennung und Abwehr von 
IT-Angriffen sind die Kopfdaten (sog. Header) der gängigen 
Kommunikationsprotokolle (IP, ICMP, TCP, UDP, DNS, 
HTTP und SMTP). Sofern die Datenübertragung zugleich 
einen Telekommunikationsvorgang darstellt (z. B. das Sen- 
den einer E-Mail), sind die Protokolldaten zugleich Ver- 
kehrsdaten im Sinne des TKG. Entsprechendes gilt hinsicht- 
lich der Protokolldaten, die bei der Nutzung von Telemedien 
anfallen. Die eigentlichen Kommunikationsinhalte sind nicht 
Bestandteil der Protokolldaten. 

Zu Absatz 9 

Datenverkehr umfasst dabei die Datenübertragung im Netz 
mittels technischer Protokolle. Die herkömmliche Telekom- 
munikation (Sprache, Telefax) ist hiervon nicht erfasst. Der 
Datenverkehr kann auch Telekommunikationsinhalte umfas- 
sen, sofern die Datenübertragung zugleich einen Telekom- 
munikationsvorgang darstellt. 

Zu §3 

§ 3 zählt die gesetzlichen Aufgaben des BSI auf. Die Aufga- 
bennormen des § 3 selbst enthalten keine Eingriffsbefugnis- 
se des BSI. Sie hindern auch andere Behörden nicht daran, 
im Rahmen ihrer Zuständigkeiten vergleichbare Aufgaben 
wahrzunehmen. Das Bundesministerium der Verteidigung 
kann für seinen Geschäftsbereich für die Verarbeitung oder 
Übertragung von Informationen eigene infonnationstech- 
nische Sicherheitsvorkehrungen ergreifen, Systeme, Kom- 
ponenten oder Prozesse entwickeln, prüfen, bewerten und 
zulassen, Schlüsseldaten herstellen und Krypto- und Sicher- 
heitsmanagementsysteme betreiben sowie eigene Maßnah- 
men zur Abwehr von Gefahren für seine Informations- und 
Kommunikationstechnik ergreifen. 

Zu Absatz I 

Zu den Nummern 1 und 2 

Diese Vorschriften erweitern die Aufgaben des BSI, um die 
Grundlage für die in den §§ 4 bis 8 neu zu schaffenden 
Befugnisse zu bilden. Der konkrete Umfang der Aufgaben- 
wahrnehmung richtet sich nach diesen Befügnisnormen. 
Diese neuen Aufgaben nimmt das BSI im Rahmen seiner Be- 
fugnisse nach § 4 ff. wahr. 

Zu Nummer 3 

Die Vorschrift entspricht im Wesentlichen dem bisherigen 
§ 3 Absatz 1 Nummer 1 BS1G. Klargestellt wird, dass die 
Aufgaben nach Nummer 3 die wissenschaftliche Forschung 
im Rahmen der gesetzlichen Aufgaben des BSI mit umfas- 
sen. 

Zu den Nummern 4 bis 6 

Die Vorschriften entsprechen im Wesentlichen dem bisheri- 
gen § 3 Absatz 1 Nummer 2 und 3 BSIG. Neben der Sicher- 
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heitszertifizierung wird auch die Konformitätsbewertung als 
eigenständige Aufgabe ergänzt. Sie enthalten eine Klarstel- 
lung ergänzend zu § 2 Absatz 8. 

Zu den Nummern 7 und 8 

Die Aufgaben der bisherigen Nummer 4 wird zur besseren 
Verständlichkeit auf zwei Nummern aufgeteilt und die Aufga- 
benbeschreibung an die technische Entwicklung angepasst: 
Der Betrieb von Krypto- und Sicherheitsmanagementsyste- 
men, z. B. Public Key Infrastructures (PK1) zur Verteilung 
von Schlüsseldaten, ist eine notwendige Ergänzung der 
Schlüsselherstellung in modernen Kommunikationssyste- 
men. Außerdem wird die Legaldefinition von Verschluss- 
sachen durch Bezugnahme auf die im Sicherheitsüberprü- 
fungsgesetz enthaltene Begriffsbestimmung vereinheitlicht. 
Die Änderung der Nummerierung wird in der BSl-KostV 
nachvollzogen werden. Die Geheimschutzbetreuung von 
Unternehmen soll weiterhin kostenfrei bleiben. 

Zu Nummer 9 

Die Aufgaben des technischen Geheimschutzes sollen we- 
gen des engen Sachzusammenhangs und des erforderlichen 
infonnationstechnischen Wissens durch das BSI wahrge- 
nommen werden. Die Vorschrift entspricht der Fonnulierung 
des § 3 Absatz 2 Nummer 3 des Bundesverfassungsschutz- 
gesetzes (BVerfSchG). Das Bundesamt ist insbesondere für 
die Durchführung von Abstrahlsicherheits- und Lausch- 
abwehrprüfungen, Penetrationstests sowie die Abnahme von 
technischen Sicherheitseinrichtungen nach der Verschluss- 
sachenanweisung (VSA) zuständig. 

Zu Nummer 1 0 

Die Aufgabennorm bildet die Grundlage für die Befugnisse 
nach § 8 Absatz 1 und 2. 

Zu Nummer 1 1 

Die Aufgabennorm bildet die Grundlage für die Befugnisse 
nach § 8 Absatz 3. 

Zu den Nummern 12 und 13 

Die Regelungen entsprechen dem bisherigen § 3 Absatz 1 
Nummer 5 und 6 BSIG. Neben den im Gesetz bislang allein 
aufgeführten Verfassungsschutzbehörden ist hier auch der 
Bundesnachrichtendienst (BND) zu nennen. 

Zu Nummer 14 

Die Vorschrift entspricht im Wesentlichen dem bisherigen 
§ 3 Absatz 1 Nummer 7 BSIG. Es wird klargestellt, dass die 
Beratungsaufgaben auch Warnmeldungen umfassen. 

Zu Nummer 1 5 

Seit einigen Jahren haben Staat und Wirtschaft erkannt, dass 
Unternehmen, insbesondere solche, die als kritische Infra- 
strukturen angesehen werden, durch Angriffe gegen die 
Kommunikations- und Infonnationstechnik empfindlich be- 
troffen sein können. Kritische Infrastrukturen sind Organisa- 
tionen und Einrichtungen mit wichtiger Bedeutung für das 
staatliche Gemeinwesen, bei deren Ausfall oder Beeinträch- 
tigung nachhaltig wirkende Versorgungsengpässe, erheb- 


liche Störungen der öffentlichen Sicherheit oder andere dra- 
matische Folgen einträten. Deshalb wird es von staatlicher 
Seite und der Wirtschaft für erforderlich gehalten, auf frei- 
williger Basis Kommunikationsstrukturen zur Krisenprä- 
vention und Krisenbewältigung vorzuhalten und sich gegen- 
seitig zu informieren. Erste Arbeiten zur Früherkennung und 
Bewältigung von IT-Krisen sind abgeschlossen. Dem Bun- 
desamt kommen in diesem Zusammenhang Aufbau- und 
Koordinierungsaufgaben zu, die gesetzlich abgesichert wer- 
den sollten. 

Zu Absatz 2 

Absatz 2 stellt klar, dass das BSI auch die Länder auf Ersu- 
chen unterstützen kann. Ob das BSI diesem Ersuchen nach- 
kommt, steht in seinem Ermessen. 

Zu §4 

Die Vorschrift regelt die Funktion des BSI als zentrale Mel- 
destelle für Informationssicherheit: Das BSI soll Informa- 
tionen zu Sicherheitslücken, Schadprogrammen und IT- 
Sicherheitsvorfällen zentral sammeln und auswerten. Sind 
Informationen für andere Behörden von Interesse, weil diese 
z. B. bestimmte Software einsetzen, die von neu entdeckten 
Sicherheitslücken betroffen ist, informiert das BSI diese un- 
verzüglich. Umgekehrt informieren Bundesbehörden das 
BSI, wenn dort Erkenntnisse z. B. zu neuen Schadprogram- 
men, neuen Angriffsmustem oder IT-Sicherheitsvorfällen 
gewonnen werden. 

Die im Rahmen von § 4 übermittelten Informationen sind 
üblicherweise rein technischer Natur und haben keinen Per- 
sonenbezug. Sollte im Einzelfall ein Personenbezug gegeben 
sein, richtet sich die Übermittlungsbefugnis nach den allge- 
meinen datenschutzrechtlichen Regelungen oder ggf. spe- 
zialgesetzlichen Regelungen. 

Die Übermittlung und Weitergabe von eingestuften Informa- 
tionen an das BSI durch die Nachrichtendienste des Bundes 
richtet sich nach dem Bundesverfassungsschutzgesetz, dem 
MAD-Gesetz und dem BND-Gesetz. Dort bestehende Über- 
mittlungsvorschriften können einer Übermittlung von Infor- 
mationen im Sinne von § 4 Absatz 2 Satz 2 Nummer 1 an das 
BSI entgegenstehen. Stellen, denen kraft Verfassung oder 
Gesetzes eine besondere Unabhängigkeit zukommt, wie dem 
Bundesbeauftragten für den Datenschutz und die Informa- 
tionsfreiheit oder den Verfassungsorganen Bundestag, 
Bundesrat und dem Bundespräsidenten, sind von der Unter- 
richtungspflicht ausgenommen, wenn eine Übermittlung im 
Widerspruch zu dieser Unabhängigkeit stehen würde. 

Die Einzelheiten des Meldeverfahrens, insbesondere hin- 
sichtlich der Frage, welche Informationen für die Arbeit des 
BSI bzw. den Schutz der Informationstechnik des Bundes re- 
levant sind, werden in Verwaltungsvorschriften des BMI mit 
Zustimmung des Rats der IT-Beauftragten der Bundesregie- 
rung festgelegt. Damit die Verwaltungsvorschriften rechtzei- 
tig fertiggestellt werden können, findet die Meldepflicht 
nach § 4 Absatz 3 erst ab 1. Januar 2010 Anwendung. Das 
Instrument der allgemeinen Verwaltungsvorschriften wurde 
hier gewählt, um deutlich zu machen, dass die Bundesregie- 
rung nur im Rahmen ihrer Weisungsbefugnisse verbindliche 
Regelungen treffen kann. Andere Verfassungsorgane sind 
nicht an sie gebunden. 
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Zu §5 
Zu Absatz 1 

Absatz 1 gibt dem BS1 die Befugnis, zur Abwehr von Gefah- 
ren für die Kommunikationstechnik des Bundes die in Ab- 
satz 1 aufgezählten Daten automatisiert auszuwerten. 

Gemäß Nummer 1 kann das BSI Protokolldaten, also sog. 
Logfiles von Servern, Firewalls usw. erheben und automati- 
siert auswerten. Dies erfolgt zum einen, um Anzeichen für 
bevorstehende IT-Angriffe zu finden. Hierzu können die 
Logfiles automatisiert ausgewertet werden, z. B. hinsichtlich 
des Datenvolumens oder durch das automatisierte „Absur- 
fen“ von aus dem Bundesnetz heraus aufgerufenen URLs, 
um sog. Phishingseiten zu identifizieren. 

Von besonderer Relevanz für die Erkennung und Abwehr 
von IT-Angriffen sind die Kopfdaten (sog. Header) der gän- 
gigen Kommunikationsprotokolle (IP, ICMP, TCP, UDP, 
DNS, HTTP und SMTP). 

Gemäß Nummer 2 kann das BSI auch automatisiert auf 
(technische) Telekommunikationsinhalte zugreifen, um die- 
se auf Schadprogramme zu untersuchen oder auf Links zu 
Intemetseiten, die ihrerseits Schadsoftware enthalten, die 
beim Aufruf versucht, sich automatisch auf dem Rechner des 
Benutzers zu installieren. Dies betrifft den Einsatz von 
Virenscannem und ähnlichen Detektionstools, der bislang 
nur mit Einwilligung der Betroffenen möglich ist. Die auto- 
matisierte Auswertung gestattet nicht die Speicherung der 
Inhalte über den für die technische Abwicklung des Kommu- 
nikations- und Erkennungsvorgangs ohnehin notwendigen 
Umfang hinaus. 

Soweit nicht eine Weiterverarbeitung nach Absatz 2 oder 3 
ausnahmsweise zulässig ist, insbesondere weil sich ein kon- 
kreter Verdacht ergibt, sind die nach Absatz 1 erhobenen Da- 
ten sofort nach der Auswertung spurenlos zu löschen, so dass 
ein weitergehender Zugriff auf die Daten nicht mehr möglich 
ist (BVerfG v. 11. März 2008, 1 BvR 2074/05, 1 BvR 1254/ 
07). Protokolldaten nach Absatz 1 Nummer 1, die weder 
personenbezogene noch dem Fernmeldegeheimnis unter- 
fallende Daten enthalten (z. B. Angaben zur Serverlast), 
unterfallen nicht der Löschungspflicht. 

Eine personenbezogene Verwendung der Protokolldaten 
nach Absatz 1 Nummer 1 zu anderen Zwekken, insbeson- 
dere zur Erstellung von Kommunikationsprofilen oder der 
Verhaltens- und Leistungskontrolle von Mitarbeitern, ist 
ausgeschlossen. 

Die Datenerhebung nach Nummer 2 erfolgt nur an den 
Schnittstellen der Kommunikationstechnik des Bundes. Die 
Begrenzung auf beim Betrieb der Kommunikationstechnik 
des Bundes anfallende Protokolldaten stellt klar, dass keine 
Datenerhebung bei Dritten von der Regelung erfasst wird. 
Die behördeninteme Kommunikation ist ebenfalls nicht er- 
fasst. 

Die Datenverarbeitungsbefugnis nach Nummer 1 unterliegt 
der letzteren Beschränkung nicht, da im Einzelfall eine Un- 
tersuchung auch der innerhalb einer Behörde anfallenden 
Protokolldaten erforderlich sein kann. Insoweit ist allerdings 
die jeweils betroffene Behörde Herrin der Daten; die Daten- 
verarbeitung kann nur im Einvernehmen mit ihr vorgenom- 
men werden. 


Zu Absatz 2 

Schadprogramme können regelmäßig erst mit einem zeit- 
lichen Verzug von mehreren Tagen oder Wochen (abhängig 
von deren Verbreitung) detektiert werden. Wenn ein neues 
Schadprogramm gefunden wurde, besteht daher die Notwen- 
digkeit, auch rückwirkend zu untersuchen, ob dieses bereits 
zuvor innerhalb der Bundesverwaltung verbreitet wurde, um 
hierdurch verursachte Schäden zu venneiden oder zu be- 
grenzen. Einzig zu diesem Zweck dürfen nach Absatz 2 die 
insoweit relevanten Protokolldaten im Sinne des Absatzes 1 
Nummer 1 auch länger gespeichert und im Falle eines bei 
Abgleich der Daten nach Absatz 3 Satz 2 bestätigten Fundes 
oder anderer Hinweise auf neue Schadprogramme automati- 
siert auf weitere Verdachtsfälle ausgewertet werden. 

Die Dauer der Speicherung ist abhängig von der technischen 
Entwicklung und richtet sich danach, innerhalb welchen 
Zeitraums eine Rückschau auf bereits stattgefundene Angrif- 
fe verhältnismäßig ist. Sobald das BSI einen neuartigen An- 
griff unter Verwendung von Schadprogrammen entdeckt, 
werden die Protokolldaten nach Bezügen zu diesem neuen 
Angriff untersucht. Dies führt regelmäßig zur Entdeckung 
von ähnlichen Angriffen, die bereits stattgefunden haben. 
Aufgrund dieser Erkenntnisse werden die betroffenen Be- 
hörden informiert, um die notwendigen Maßnahmen zur 
Verhinderung von Schäden und zur Abwehr weiterer Angrif- 
fe treffen zu können. Die Speicherdauer von maximal drei 
Monaten ist auch angemessen: Nach den bisherigen Erfah- 
rungen wird der größte Teil (ca. 80 Prozent) der Angriffe in- 
nerhalb der ersten drei Monate entdeckt, womit lediglich et- 
wa 20 Prozent der Angriffe noch entdeckt würden, wenn die 
Daten länger als drei Monate gespeichert werden könnten. 
Unter Berücksichtigung des Schutzbedarfs der Behörden 
wird deshalb die maximale Speicherdauer der zur Erken- 
nung von Schadprogrammen relevanten Protokolldaten auf 
drei Monate festgelegt. Nach Ablauf dieser Zeitspanne sind 
die Protokolldaten spurenlos zu löschen. 

Im Trefferfall erfolgt die Weiterverarbeitung der treffer- 
relevanten Daten nach Absatz 3. Die Vorgaben des Absat- 
zes 2 sind auch durch organisatorische und technische Maß- 
nahmen sicherzustellen. 

Zu Absatz 3 

Wenn, insbesondere aufgrund der Maßnahmen nach 
Absatz 1, ein konkreter Verdacht auf das Vorliegen eines 
Schadprogramms besteht, sind nach Absatz 3 weitergehende 
Maßnahmen möglich. In einem ersten Schritt sind die not- 
wendigen Untersuchungen zulässig, die nötig sind, um den 
konkreten Verdacht zu bestätigen oder zu widerlegen. Im 
Falle eines Fehlalarms ist die betroffene Behörde bzw. der 
betroffene Mitarbeiter, soweit feststellbar, hiervon zu unter- 
richten. Die Daten sind dann, ggf. nach Weiterleitung an den 
ursprünglichen Adressaten, wieder zu löschen. Im Falle der 
Bestätigung können die Daten zum Zweck der Abwehr des 
Schadprogramms oder ähnlicher Schadprogramme, z. B. 
durch Untersuchung der Funktionsweise des Schadpro- 
gramms, durch Aufnahme der Virensignatur o. Ä. verwendet 
werden. Dabei sind personenbezogene Daten gemäß § 3a 
BDSG soweit möglich zu anonymisieren oder zu pseudony- 
misieren. Außerdem kann ein durch das Schadprogramm 
ausgelöster ungewollter Datenstrom detektiert und ggf. un- 
terbunden werden. Auch hiervon ist die betroffene Person 
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oder Behörde zu unterrichten. Die Unterrichtung des Absen- 
ders des Schadprogramms dürfte im Regelfall nicht möglich 
sein, weil der Absender bereits technisch, etwa aufgrund von 
gefälschten Adressen, nicht ermittelbar ist. Die Unterrich- 
tung unterbleibt ferner, wenn dieser schutzwürdige Belange 
Dritter entgegenstehen. Werden die Daten aufgrund der Be- 
fugnisse nach Absatz 4 oder 5 für ein Strafverfahren oder für 
Zwecke der Verfassungsschutzbehörden weiterverwendet, 
erfolgt die Benachrichtigung durch die insoweit zuständigen 
Behörden nach Maßgabe der für diese geltenden Vorschrif- 
ten der Strafprozessordnung, der Polizeigesetze oder der 
Verfassungsschutzgesetze. So gilt z. B. für Mitteilungen 
durch das Bundesamt für Verfassungsschutz die Regelung 
des § 9 Abs. 3 BVerfSchG, nach dem bei den dort genannten 
besonders grundrechtsrelevanten Eingriffen eine Mitteilung 
an den Betroffenen erforderlich ist, sobald eine Gefährdung 
des Zweckes des Eingriffs ausgeschlossen werden kann. So- 
weit keine Regelung zur Benachrichtigung existiert, gelten 
die Vorschriften der Strafprozessordnung. 

Zu Absatz 4 

Angriffe auf die Infonnationstechnik des Bundes mittels 
Schadprogrammen stellen zugleich auch Straftaten oder eine 
Gefahr für die öffentliche Sicherheit dar. Absatz 4 Satz 1 ge- 
stattet dem BSI daher, die Daten auch an die insoweit zustän- 
digen Behörden zu übermitteln, sofern dies zur Verfolgung 
einer Straftat von erheblicher Bedeutung oder einer mittels 
Telekommunikation begangenen Straftat erforderlich ist. 
Außerdem darf das BSI Daten im Rahmen des ursprüng- 
lichen Verwendungszwecks übermitteln, also wenn eine 
Gefahr für die öffentliche Sicherheit unmittelbar von dem 
gefundenen Schadprogramm ausgeht oder wenn ein nach- 
richtendienstlicher Hintergrund vorliegt. 

Zu Absatz 5 

Eine zweckändernde Übermittlung möglicher Zufallsfunde 
an die Polizeien oder Verfassungsschutzbehörden ist hinge- 
gen nur unter den engen Voraussetzungen des Absatzes 5 zu- 
lässig. Diese bedarf der gerichtlichen Zustimmung bzw., im 
Falle der Übermittlung an die Verfassungsschutzbehörden, 
der Beachtung des Verfahrens nach dem Artikel 10-Gesetz. 

Da Ziel der Maßnahmen die Suche nach Schadprogrammen, 
also technischen Inhalten, aber nicht die Auswertung der 
eigentlichen Kommunikationsinhalte ist, ist ein Richtervor- 
behalt wie bei den vergleichbaren Regelungen in § 64 Abs. 1 
TKG oder § 14 Abs. 7 des Gesetzes über die elektromagne- 
tische Verträglichkeit von Betriebsmitteln (EMVG) nur bei 
dieser zweckändemden Übermittlung erforderlich. 

Zu Absatz 6 

Eine darüber hinausgehende Nutzung oder Verarbeitung von 
Telekommunikationsinhalten, insbesondere des semanti- 
schen Inhalts, ist untersagt. Wird im Rahmen der Überprü- 
fung nach Absatz 2 festgestellt, dass Daten dem Kembereich 
privater Lebensgestaltung zuzurechnen sind, sind diese un- 
verzüglich zu löschen; die Tatsache ihrer Erlangung und 
Löschung ist aktenkundig zu machen. Auf eine Pflicht zur 
begleitenden Kembereichskontrolle wurde verzichtet, da 
diese gegenüber der eigentlichen Maßnahme einen stärkeren 
Grundrechtseingriff darstellte: Die Inhaltsauswertung durch 
das BSI beschränkt sich auf die Durchsicht der technischen 


Steuerbefehle. Semantische Inhalte können hierbei allenfalls 
als Zufallsfunde in Ausnahmefällen erkannt werden. Eine 
ständige Kontrolle auf Kembereichsrelevanz würde hinge- 
gen die inhaltliche Auswertung auch der „menschlichen“ 
Kommunikationsanteile erforderlich machen. 

Zu Absatz 7 

Die Befugnisse des BSI nach § 5 erlauben eine Erhebung 
und Verarbeitung von personenbezogenen Daten. Diese un- 
terliegt gemäß § 24 BDSG der Kontrolle durch den Bundes- 
beauftragten für den Datenschutz und die Informationsfrei- 
heit (BfDI). Vor Aufnahme der Datenverarbeitung hat das 
BSI ein Datenschutzkonzept zu erstellen und für Prüfungen 
durch den BfDI bereitzuhalten. Aufgrund der hohen Verant- 
wortung der Ressorts gegenüber der Vertraulichkeit der 
Kommunikation der Mitarbeiter und Mitarbeiterinnen soll 
der BfDI neben der Berichtspflicht aus § 24 Absatz 5 Satz 1 
BDSG auch den Rat der IT-Beauftragten der Bundesregie- 
rung über das Ergebnis seiner Kontrollen infonnieren. 

Zu §6 

Die Vorschrift konkretisiert die Löschungspflichten nach 
dem Bundesdatenschutzgesetz sowie nach § 5, wenn erho- 
bene personenbezogene oder personenbeziehbare Daten 
(z. B. E-Mail- Adressen in Logfdes) nicht mehr benötigt wer- 
den. Im Übrigen gelten für die Verarbeitung personen- 
bezogener Daten durch das BSI die Vorschriften des Bundes- 
datenschutzgesetzes. So sind personenbezogene Daten 
insbesondere nach Maßgabe des § 3a Satz 2 BDSG zu ano- 
nymisieren oder zu pseudonymisieren; zudem gilt das Gebot 
der Datensparsamkeit nach § 3a Satz 1 BDSG. 

Zu §7 

Die Vorschrift regelt die genauen Umstände, unter denen das 
BSI aufgrund von gewonnen Erkenntnissen über Sicher- 
heitslücken oder Schadprogramme die Öffentlichkeit oder 
betroffene Stellen informieren darf und Produktwarnungen 
oder -empfehlungen aussprechen kann. Warnungen gegen- 
über Bundesbehörden regelt § 4 Absatz 2. 

Zu §8 
Zu Absatz 1 

Absatz 1 regelt die Befugnis des BSI, allgemeine technische 
Mindeststandards für die IT-Sicherheit zu entwickeln, wie 
dies bereits heute z. B. in Form des Grundschutzhandbuchs 
oder in Prüfvorschriften erfolgt. Soweit erforderlich kann 
das Bundesministerium des Innern mit Zustimmung des Rats 
der IT-Beauftragten der Bundesregierung bestimmte Vorga- 
ben als allgemeine Verwaltungsvorschriften erlassen und da- 
durch für die Bundesverwaltung für verbindlich erklären. 
Dies kann eingeschränkt werden, z. B. auf bestimmte Ein- 
satzszenarien. Das Instrument der allgemeinen Verwaltungs- 
vorschriften wurde hier gewählt, um deutlich zu machen, 
dass die Bundesregierung nur im Rahmen ihrer Weisungsbe- 
fugnisse verbindliche Regelungen treffen kann. Andere Ver- 
fassungsorgane sind an diese nicht gebunden. Die Ausnahme 
hinsichtlich der Zustimmungsbedürftigkeit des Erlasses 
einer allgemeinen Verwaltungsvorschrift beruht auf der be- 
sonderen Bedeutung der ressortübergreifenden Netze der 
Bundesregierung und ihres Schutzes und entspricht dem im 
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Umsetzungsplan Bund vom Bundeskabinett verabschiede- 
ten IT-Sicherheitskonzept für die Bundesverwaltung. Die Si- 
cherheit der ressortübergreifenden Netze hängt sowohl von 
den innerhalb des Netzes umgesetzten Sicherheitsvorkeh- 
rungen als auch von den Sicherheitsmaßnahmen der diese 
Netze nutzenden Behörden ab. Sicherheitslücken auf Behör- 
denseite können dabei die Gesamtsicherheit des Regierungs- 
netzes und damit aller anderen Behörden gefährden. Für an- 
dere Verfassungsorgane sowie Bundesgerichte haben die 
Vorgaben lediglich empfehlenden Charakter. 

Zu Absatz 2 

Absatz 2 ermächtigt das BSI, für die Beschaffung von Infor- 
mationstechnik verbindliche Richtlinien zu verfassen. Diese 
sind bei der Bedarfsfestlegung durch die beschaffende Stelle 
zu berücksichtigen. Dies beinhaltet z. B. Vorschriften zur 
Risikoanalyse, zur Auswahl und zu den IT-Sicherheitsanfor- 
derungen, die z. B. im Rahmen eines Vergabeverfahrens an 
die Eignung der Anbieter und an die ausgeschriebenen Leis- 
tungen gestellt werden müssen. Ein einmal erworbenes un- 
sicheres Produkt kann auch durch entsprechende Konfigura- 
tion in der Regel nicht mehr hinreichend abgesichert werden. 
Die so geschaffenen Sicherheitslücken können ggf. auch die 
Informationstechnik anderer vernetzter Behörden gefährden. 
Die steigende Abhängigkeit der Verwaltung von Informa- 
tionstechnik einerseits, die zunehmende Komplexität und 
damit Angreifbarkeit dieser Technik andererseits machen es 
erforderlich, dass abstrakte Qualitätskriterien bereits für die 
Auswahl von Informationstechnik durch eine zentrale Stelle 
wie das BSI festgelegt werden. 

Das Erfordernis der Abgabe der Verdingungsunterlagen an 
einen anhand unzulänglich aufgestellter Eignungskriterien 
ausgewählten Auftragnehmer kann bereits wegen der enthal- 
tenen Leistungsanforderungen und sonstigen Informationen 
ein hohes Sicherheitsrisiko darstellen und die Sicherheits- 
interessen der Bundesrepublik Deutschland gefährden. 

Die vergaberechtlichen Vorschriften insbesondere des Ge- 
setzes gegen Wettbewerbsbeschränkungen (GWB) bleiben 
unberührt. Die festzulegenden Anforderungen sollen den be- 
schaffenden Behörden im Vorfeld von Vergabeverfahren 
Leitlinien an die Hand geben, wie Eignungs- und Leistungs- 
anforderungen abhängig vom Einsatzzweck der Infonna- 
tionstechnik zu entwickeln und zu formulieren sind, um ein 
der Risikoeinschätzung entsprechendes Sicherheitsniveau zu 
erhalten. Soweit Vorschriften des Geheimschutzes, wie bei- 
spielsweise die Verschlusssachenanweisung, besondere Vor- 
gaben für öffentliche Beschaffungsvorgänge machen, gehen 
diese vor. 

Zu Absatz 3 

Die Vorschrift regelt die Befugnis des BSI, bestimmte IT-Si- 
cherheitsprodukte (z. B. Virenscanner, Firewalls, Verschlüs- 
selungstechnik usw.) für die gesamte Bundesverwaltung 
selbst zu entwickeln oder öffentliche Aufträge zu vergeben. 
Ob das BSI von der Befugnis Gebrauch macht, steht in des- 
sen Ermessen und ist insbesondere davon abhängig, ob eine 
Prognose ergibt, dass durch die zentrale Bereitstellung die 
IT-Sicherheit erhöht oder (etwa durch Mengenrabatte) Kos- 
ten gespart werden können. Hierzu ist insbesondere im Vor- 
feld eine Bedarfsermittlung durchzuführen. Wenn das BSI 
von seiner Befugnis Gebrauch macht, kann die Abnahme für 


die Behörden durch Beschluss des Rats der IT-Beauftragten 
der Bundesregierung verpflichtend gemacht werden. 

Zu §9 

Zu den Absätzen 1 und 2 

§ 9 entspricht im Wesentlichen dem bisherigen § 4 BSIG. 
Das Zertifizierungsverfahren soll durch die redaktionelle 
Überarbeitung besser als bisher im Gesetz abgebildet wer- 
den. 

Absatz 1 stellt klar, dass das BSI die nationale Zertifizie- 
rungsstelle der Bundesverwaltung für IT-Sicherheit ist. Als 
solche erteilt das BSI das deutsche IT-Sicherheitszertifikat. 
In Absatz 2 wird durch Umstellung der bisherigen Formulie- 
rung klargestellt, dass neben Produkten, Komponenten und 
Systemen auch Personen und IT-Sicherheitsdienstleister zer- 
tifiziert werden können. Damit ist das Bundesamt unter an- 
derem für die Zertifizierung von Auditoren, Evaluatoren, 
Prüfern, Lauschabwehr- und Abstrahlprüfstellen zuständig. 

Spezialgesetzlich geregelte Befugnisse anderer Behörden, 
insbesondere der Bundesnetzagentur nach dem Signaturge- 
setz, sowie Zertifizierungsdienstleistungen der Wirtschaft 
bleiben unberührt. 

Zu Absatz 3 

Im Rahmen von Zertifizierungsverfahren kann sich das BSI 
wie bislang sachverständiger Stellen bedienen. 

Zu Absatz 4 

Entspricht dem bisherigen § 4 Absatz 3. 

Zu Absatz 5 

Folgeregelung zu Absatz 2. 

Zu Absatz 6 

Absatz 6 regelt die Voraussetzungen für eine Anerkennung 
gemäß § 9 Absatz 3. 

Zu Absatz 7 

Entspricht dem bisherigen § 4 Absatz 4. Es wird klargestellt, 
dass die Gleichwertigkeit eines Zertifikats durch das Bun- 
desamt festgestellt werden muss. 

Zu §10 

Redaktionelle Anpassung des bisherigen § 5 (Nennung auch 
der Auslagen in der Verordnungsermächtigung). 

Zu § 11 

Durch die Befugnisse nach § 5 Absatz 2 bis 5 wird in das 
Femmeldegeheimnis aus Artikel 10 GG eingegriffen. Durch 
§10 wird dem Zitiergebot aus Artikel 19 Absatz 1 GG Ge- 
nüge getan. 

Zu § 12 

Einzelne Bestimmungen verweisen auf eine Zustimmung 
des Rats der IT-Beauftragten der Bundesregierung (IT-Rat), 
so § 4 Absatz 6 und § 8 Absatz 1 Satz 2 und Absatz 3 Satz 4. 
Dieser ist im Rahmen des IT-Steuerungskonzepts der Bun- 
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desregierung mit Beschluss des Bundeskabinetts vom De- 
zember 2007 eingerichtet worden und entscheidet einstim- 
mig. Sollte dieses Gremium wieder aufgelöst werden, gehen 
die Befugnisse auf die entsprechende Nachfolgeorganisation 
über, sollte er ersatzlos wegfallen oder nicht mehr zusam- 
mentreten, kann an die Stelle der Zustimmung des IT-Rats 
das Einvernehmen der Bundesministerien treten. 

Kommt ein Beschluss des IT-Rats nicht zustande, etwa weil 
keine Sitzung stattfmdet oder auf dieser Ebene keine Eini- 
gung erzielt wird, kann dieser durch das Einvernehmen aller 
Ressorts ersetzt werden. Eine Ersetzung des IT-Rats-Be- 
schlusses durch einen Beschluss der IT-Steuerungsgruppe ist 
nicht möglich. 

Zu Artikel 2 (Änderung des Telekommunikations- 
gesetzes) 

§ 1 09 Absatz 2 TKG wird dahingehend ergänzt, dass die 
Bundesnetzagentur ermächtigt wird, im Benehmen mit dem 
BSI einen Katalog von Sicherheitsanforderungen für das Be- 
treiben von Telekommunikations- und Datenverarbeitungs- 
systemen zu erstellen und nach Anhörung der Hersteller und 
Betreiber von Telekommunikationsanlagen zu veröffent- 
lichen, der als Grundlage für die nach Absatz 3 von den Un- 
ternehmen zu erstellenden Sicherheitskonzepte dienen soll, 
um insgesamt eine höhere Sicherheit sowohl in den Tele- 
kommunikations- und Datenverarbeitungssystemen als auch 
in den Telekommunikationsnetzen zu gewährleisten. 

Der neue Satz 5 in Absatz 3 ermächtigt die Bundesnetzagen- 
tur, die Einhaltung der Sicherheitskonzepte bei den Verpflich- 
teten in regelmäßigen Abständen überprüfen zu können. 

Zu Artikel 3 (Änderung des Telemediengesetzes) 

Das Telemediengesetz enthält keine dem § 100 Abs. 1 TKG 
entsprechende Bestimmung, die es Diensteanbietem ermög- 
licht, Nutzungsdaten zu erheben und zu verwenden, falls 
dies zum Erkennen, Eingrenzen oder Beseitigen von Störun- 


gen seiner technischen Einrichtungen erforderlich ist. Hier 
besteht eine Lücke im Bereich der Erlaubnistatbestände des 
Telemediengesetzes, denn auch die Telemedienanbieter 
brauchen eine entsprechende Ermächtigung, beispielsweise 
um Angriffe (Denial of Service, Schadprogramme, Verände- 
rung ihrer Webangebote von außerhalb) abwehren zu kön- 
nen. Zur Erkennung und Abwehr bestimmter Angriffe gegen 
Webseiten und andere Telemedien ist die Erhebung und 
kurzfristige Speicherung und Auswertung der Nutzungs- 
daten erforderlich. Diese soll durch den neuen § 15 Absatz 9 
TMG, der sich an § 100 Absatz 1 TKG anlehnt, geschaffen 
werden. Dabei ist auch eine Weiterentwicklung der Angriffs- 
methoden zu berücksichtigen. Zur Durchführung von An- 
griffen werden neuerdings verstärkt auch manipulierte Web- 
seiten genutzt. Für die Anbieter von (Telemedien-)Diensten 
im Internet bedeutet dies, dass sich die zu verfolgenden 
IT-Sicherheitsziele im Internet verändert haben. Sie müssen 
ihre Systeme nicht nur zum Selbstschutz gegen Manipula- 
tionen, Hacking oder Verfügbarkeitsangriffe schützen, son- 
dern sie müssen heute ihre Systeme auch gegen Angriffe 
härten, die diese Systeme nur als Zwischenstation für An- 
griffe auf die Nutzer der Dienste missbrauchen. Technische 
Einrichtungen im Sinne dieser Vorschrift sind alle Einrich- 
tungen des Diensteanbieters, die dieser benötigt, um sein 
Telemedienangebot zur Verfügung zu stellen. Insbesondere 
ist das der Datenspeicher (Server), auf dem das Telemedien- 
angebot zum Abruf bereitgehalten wird. Der Begriff der 
Störung ist umfassend zu verstehen als jede vom Dienste- 
anbieter nicht gewollte Veränderung der von ihm für sein 
Telemedienangebot genutzten technischen Einrichtungen, 
also beispielsweise auch eine Veränderung, welche die tech- 
nische Einrichtung selbst nur als Zwischenstation nutzt, um 
die Nutzer des Telemedienangebots anzugreifen. 

Zu Artikel 4 (Inkrafttreten, Außerkrafttreten) 

Die Vorschrift regelt das Inkrafttreten. Zeitgleich tritt das 
bisherige BSI-Errichtungsgesetz außer Kraft. 
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Anlage 2 

Stellungnahme des Nationalen Normenkontrollrates 


Der Nationale Normenkontrollrat hat das Regelungsvorha- 
ben auf Bürokratiekosten, die durch Informationspflichten 
begründet werden, geprüft. 

Mit dem Regelungsvorhaben werden fünf Informations- 
pflichten für die Verwaltung neu eingeführt. Das Ressort hat 
die Informationspflichten und daraus resultierende bürokra- 
tische Auswirkungen nachvollziehbar dargestellt. 

Danach dienen drei Informationspflichten der Wahrung der 
Rechte von Betroffenen und sind verfassungsrechtlich vor- 
gegeben. Zwei Informationspflichten dienen dem verbesser- 
ten Informationsaustausch zu Sicherheitslücken und Sicher- 
heitsvorkehrungen in der Informationstechnik. Dabei hat das 
Ressort deutlich gemacht, dass durch die zentrale Samm- 
lung, Aufbereitung und Verteilung von IT-Sicherheitsinfor- 
mationen durch das Bundesamt für Sicherheit in der Infor- 
mationstechnik eine Regelungsaltemative gewählt wurde, 
die im höchstmöglichen Maß Synergieeffekte nutzt. 

Der Nationale Normenkontrollrat hat daher im Rahmen sei- 
nes gesetzlichen Prüfauftrags keine Bedenken gegen das Re- 
gelungsvorhaben. 
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